Life & Arts Τρίτη 9/11/2021, 11:56
HP THREAT INSIGHTS REPORT

Πώς οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τα «παράθυρα ευπάθειας»

Φωτ. Unsplash / Mika Baumeister

«Καμπανάκι» για την ταχύτητα με την οποία κινητοποιούνται οι εγκληματίες του κυβερνοχώρου για να αξιοποιήσουν νέες ευπάθειες «ημέρας μηδέν» προτού προλάβουν οι επιχειρήσεις να ενημερώσουν τα συστήματά τους κρούει η ερευνητική ομάδα απειλών του HP Wolf Security, στο πλαίσιο της δημοσιοποίησης της παγκόσμιας έκθεσης HP Wolf Security Threat Insights.

Όπως αναφέρεται σε σχετική ανακοίνωση, «οι επιθέσεις με στόχο το zero-day CVE-2021-40444 – μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα που επιτρέπει την κακόβουλη χρήση της μηχανής περιήγησης MSHTML χρησιμοποιώντας έγγραφα του Microsoft Office – καταγράφηκαν για πρώτη φορά από την HP στις 8 Σεπτεμβρίου, μια εβδομάδα πριν από την έκδοση της ενημέρωσης κώδικα στις 14 Σεπτεμβρίου. Μέχρι τις 10 Σεπτεμβρίου – τρεις ημέρες μετά τη δημοσίευση των τεχνικών λεπτομερειών της απειλής – η ερευνητική ομάδα απειλών της HP εντόπισε scripts δημοσιευμένα στο GitHub που σχεδιάστηκαν για να επιτίθενται αυτόματα στην αδυναμία. Εφόσον το σύστημα δεν έχει ενημερωθεί, η ευπάθεια επιτρέπει στους εισβολείς να το παραβιάσουν με ελάχιστες ενέργειες από τον χρήστη. Για τη μεταφορά του το κακόβουλο λογισμικό χρησιμοποιεί ένα συμπιεσμένο αρχείο και εγκαθίσταται μέσω ενός εγγράφου του Office. Οι χρήστες δεν χρειάζεται να ανοίξουν το αρχείο ή να ενεργοποιήσουν τις μακροεντολές, η εμφάνιση του απλά στο παράθυρο προεπισκόπησης του File Explorer αρκεί για να ξεκινήσει η επίθεση, την οποία συχνά ο χρήστης δεν αντιλαμβάνεται. Μόλις η συσκευή παραβιαστεί, οι εισβολείς μπορούν να ανοίξουν backdoors στο εταιρικό δίκτυο και στη συνέχεια να πουλήσουν τα στοιχεία πρόσβασης σε ομάδες ransomware».

Άλλες αξιοσημείωτες απειλές που απομονώθηκαν από την ομάδα πληροφοριών απειλών του HP Wolf Security περιλαμβάνουν:

  • Αύξηση των εγκληματιών του κυβερνοχώρου που χρησιμοποιούν επώνυμους παρόχους Cloud και ιστοσελίδων για τη φιλοξενία κακόβουλου λογισμικού.
  • Κακόβουλο λογισμικό JavaScript που διαφεύγει από προηγούμενα εργαλεία ανίχνευσης.
  • Στοχευμένη καμπάνια βρέθηκε να παριστάνει το ταμείο Εθνικής Κοινωνικής Ασφάλισης της Ουγκάντα.
  • Η αλλαγή σε αρχεία HTA επιτρέπει τη διάδοση κακόβουλου λογισμικού με ένα μόνο κλικ.

«Ο μέσος χρόνος για μια επιχείρηση να εφαρμόσει, να δοκιμάσει και να αναπτύξει πλήρως τις ενημερώσεις κώδικα με τους κατάλληλους ελέγχους είναι 97 μέρες, δίνοντας στους εγκληματίες του κυβερνοχώρου την ευκαιρία να εκμεταλλευτούν αυτό το ‘παράθυρο ευπάθειας’» εξηγεί ο Alex Holland, Senior Malware Analyst της ερευνητικής ομάδας απειλών του HP Wolf Security, της HP Inc. Όπως σημειώνει ο ίδιος «ενώ αρχικά μόνο οι εξαιρετικά ικανοί χάκερ θα μπορούσαν να το εκμεταλλευτούν, τα αυτοματοποιημένα scripts έχουν μειώσει τον πήχη δυσκολίας, καθιστώντας αυτόν τον τύπο επίθεσης προσιτό σε παράγοντες απειλών με λιγότερες γνώσεις και πόρους. Αυτό αυξάνει σημαντικά τον κίνδυνο για τις επιχειρήσεις, καθώς οι ευπάθειες ‘ημέρας μηδέν’ εμπορευματοποιούνται και διατίθενται στη μαζική αγορά σε χώρους όπως υπόγεια φόρουμ».

«Αυτά τα πρωτοποριακά εργαλεία επιθέσεων τείνουν να είναι αποτελεσματικά στην αποφυγή εργαλείων ανίχνευσης, καθώς οι υπογραφές εντοπισμού μπορεί να είναι ελλιπείς και να ξεπερνούνται γρήγορα λόγω των μεταβολών στο εύρος λειτουργικότητας τους. Αναμένουμε από τους φορείς απειλών να υιοθετήσουν το CVE-2021-40444 ως μέρος του οπλοστασίου τους και ενδεχομένως να αντικαταστήσουν ακόμη και κοινά εργαλεία που χρησιμοποιούνται για την απόκτηση αρχικής πρόσβασης σε συστήματα σήμερα, όπως για παράδειγμα αυτά που στοχεύουν το Equation Editor» επισημαίνει ο Alex Holland.

Τα ευρήματα βασίζονται σε δεδομένα από εκατομμύρια τερματικά σημεία που εκτελούν το HP Wolf Security. Το HP Wolf Security παρακολουθεί τα κακόβουλα λογισμικά εκτελώντας επικίνδυνες εργασίες σε μεμονωμένες, μικρο εικονικές μηχανές (micro VMs) για να κατανοήσει και να καταγράψει την πλήρη αλυσίδα μόλυνσης, συμβάλλοντας στην απομόνωση των απειλών που διαφεύγουν από άλλα εργαλεία ασφαλείας. Αυτό επέτρεψε στους πελάτες να κάνουν κλικ σε πάνω από 10 δισεκατομμύρια συνημμένα email, ιστοσελίδες και λήψεις χωρίς αναφερόμενες παραβιάσεις. Κατανοώντας καλύτερα τη συμπεριφορά του κακόβουλου λογισμικού στην πράξη, οι ερευνητές και οι μηχανικοί του HP Wolf Security μπορούν να ενισχύσουν την προστασία της ασφάλειας των τελικών σημείων και τη συνολική ανθεκτικότητα των συστημάτων.

Τα βασικά ευρήματα της έκθεσης περιλαμβάνουν:

  • Το 12% του κακόβουλου λογισμικού email που απομονώθηκε είχε παρακάμψει τουλάχιστον έναν σαρωτή πύλης εισόδου.
  • Το 89% του εντοπισμένου κακόβουλου λογισμικού παραδόθηκε μέσω ηλεκτρονικού ταχυδρομείου, ενώ οι λήψεις ιστού ήταν υπεύθυνες για το 11%, και άλλα μέσα όπως αφαιρούμενες συσκευές αποθήκευσης για λιγότερο από 1%.
  • Τα πιο κοινά συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν συμπιεσμένα αρχεία (38% – από 17,26% του προηγούμενου τριμήνου), έγγραφα Word (23%), υπολογιστικά φύλλα (17%) και εκτελέσιμα αρχεία (16%).
  • Οι κορυφαίες πέντε πιο κοινές παγίδες phishing σχετίζονταν με επιχειρηματικές συναλλαγές όπως «παραγγελίες», «πληρωμές», «νέα», «προσφορές» και «αιτήματα».
  • Η αναφορά διαπίστωσε ότι το 12% του κακόβουλου λογισμικού που καταγράφηκε ήταν προηγουμένως άγνωστο.

«Δεν μπορούμε να συνεχίσουμε να βασιζόμαστε μόνο στην ανίχνευση. Το τοπίο των απειλών είναι πολύ δυναμικό και, όπως μπορούμε να δούμε από την ανάλυση των απειλών που καταγράφονται στα VM μας, οι εισβολείς γίνονται ολοένα και πιο ικανοί στο να αποφεύγουν τον εντοπισμό», σχολιάζει ο Dr. Ian Pratt, Global Head of Security for Personal Systems, της HP Inc. «Οι οργανισμοί πρέπει να ακολουθήσουν μια προσέγγιση πολλών επιπέδων για την ασφάλεια των τελικών σημείων, ακολουθώντας τις αρχές μηδενικής εμπιστοσύνης ώστε να περιορίσουν και να απομονώσουν τους πιο κοινούς φορείς επίθεσης, όπως email, προγράμματα περιήγησης και λήψεις. Αυτό θα εκμηδενίσει την επιφάνεια επίθεσης για ολόκληρες κατηγορίες απειλών, ενώ θα δώσει στους οργανισμούς τον απαραίτητο χώρο  για τον ασφαλή συντονισμό των κύκλων ενημερώσεων του λογισμικού τους χωρίς διακοπή των υπηρεσιών τους» τονίζει.

Ακολουθήστε το Money Review στο Google News